A SentinelOne kiberbiztonsági vállalat kutatói megerősítették: az elmúlt év során több kínai kötődésű kibertámadást sikerült megakadályozni, köztük közvetlen kísérletet a cég infrastruktúrájának kompromittálására is. A támadók kiberkémkedési céllal próbálták kihasználni a SentinelOne és alvállalkozóinak sebezhetőségeit.
🎯 Miért támadnak kiberbiztonsági szolgáltatókat?
A SentinelOne olyan kulcsfontosságú területeken működik, mint:
- IoT biztonság
- Vállalati végpontvédelem (EPP)
- Kritikus infrastruktúrák védelme
Ezáltal a cég nagy értékű célpont az állami támogatású hackercsoportok számára, hiszen sikeres kompromittálás esetén:
- Downstream hozzáférést szerezhetnek ügyfelek rendszereihez
- Védekezési módszereket ismerhetnek meg
- Kialakíthatják azokat a taktikákat, amelyek megkerülik a detekciós technológiákat
📌 Támadások összefoglalása
A SentinelLabs szerint a támadássorozat legalább 70 szervezetet érintett világszerte 2024. június és 2025. március között.
Érintett ágazatok:
- Kormányzati
- Telekommunikáció
- Média
- Pénzügy
- Gyártás
- Kutatás-fejlesztés
- IT szolgáltatások
☠️ Két különálló APT kampányt azonosítottak
| Csoport | Kódnév | Aktivitás időszaka |
|---|---|---|
| APT15 / UNC5174 | PurpleHaze | 2024. szeptember – október |
| APT41 | ShadowPad | 2024. június – 2025. március |
1️⃣ PurpleHaze – Zero-Day támadásokkal
- Célpontok: SentinelOne, dél-ázsiai kormányzati szervezet, vezető európai médiaház
- Támadási módszerek:
- GOREshell backdoor
- Zero-day exploit az Ivanti cloud rendszerek ellen (CVE-2024-8963, CVE-2024-8190)
- Hamis domainek: sentinelxdr[.]us, secmailbox[.]us
- Port 443-as pásztázás
2️⃣ ShadowPad – Beszállítói lánc támadás
- Célpont: SentinelOne IT-logisztikai partnere
- Támadási lánc:
- PowerShell alapú malware telepítés késleltetett aktiválással
- Memóriából való eltüntetés reboot után
- Nimbo-C2 C2-keretrendszer használata:
- képernyőkép készítés
- PowerShell parancs végrehajtás
- fájlkezelés
- UAC megkerülés
- Adatexfiltráció: jelszavas 7-Zip archívumban, rekurzívan összegyűjtve érzékeny dokumentumokat
🧭 Támadási cél: beszállítói lánc kihasználása
Az APT41 a SentinelOne dolgozói hardverlogisztikai alvállalkozóján keresztül próbált hozzáférni a cég rendszeréhez. Bár nincs bizonyíték a közvetlen kompromittálásra, a cél egyértelmű: megkerülni a közvetlen védelmi vonalakat egy harmadik fél felhasználásával.
🧠 SentinelOne üzenete
„A kiberbiztonsági cégek kivételes értékű célpontok. Elkötelezettek vagyunk az iparági transzparencia és az együttműködés mellett a védelem erősítése érdekében.” – SentinelLabs
🛡 APT-csoportok profilja
APT15 (PurpleHaze, GOREshell)
- Több mint 20 éve aktív
- Diplomáciai célpontok, diaszpórák, média
APT41 (ShadowPad, ScatterBrain)
- Hibrid csoport: állami és pénzügyi motívumok
- Nyugat-európai és amerikai célpontok
- Árnyékos infrastruktúra + logisztikai támadás
